Delen via


Het doorsturen van Windows-gebeurtenissen configureren naar uw zelfstandige Defender for Identity-sensor

In dit artikel wordt een voorbeeld beschreven van het configureren van het doorsturen van Windows-gebeurtenissen naar uw Microsoft Defender for Identity zelfstandige sensor. Gebeurtenis doorsturen is een methode om uw detectiemogelijkheden te verbeteren met extra Windows-gebeurtenissen die niet beschikbaar zijn via het domeincontrollernetwerk. Zie Overzicht van Windows-gebeurtenisverzameling voor meer informatie.

Belangrijk

Zelfstandige Defender for Identity-sensoren bieden geen ondersteuning voor het verzamelen van ETW-logboekvermeldingen (Event Tracing for Windows) die de gegevens voor meerdere detecties bieden. Voor volledige dekking van uw omgeving raden we u aan de Defender for Identity-sensor te implementeren.

Vereisten

Voordat u begint:

Stap 1: het netwerkserviceaccount toevoegen aan het domein

In deze procedure wordt beschreven hoe u het netwerkserviceaccount toevoegt aan het domein van de groep Lezers van gebeurtenislogboeken . Voor dit scenario wordt ervan uitgegaan dat de zelfstandige sensor van Defender for Identity lid is van het domein.

  1. Ga in De gebruikers en computers van Active Directory naar de map Ingebouwd en dubbelklik op Lezers van gebeurtenislogboeken.

  2. Selecteer Leden.

  3. Als Netwerkservice niet wordt vermeld, selecteert u Toevoegen en voert u vervolgens Netwerkservice in het veld De objectnamen invoeren om te selecteren .

  4. Selecteer Namen controleren en selecteer tweemaal OK .

Nadat u de netwerkservice hebt toegevoegd aan de groep Lezers van gebeurtenislogboeken , start u de domeincontrollers opnieuw op om de wijziging van kracht te laten worden.

Zie Active Directory-accounts voor meer informatie.

Stap 2: een beleid maken waarmee de instelling Doel configureren wordt ingesteld

In deze procedure wordt beschreven hoe u een beleid maakt op de domeincontrollers om de instelling Abonnementsbeheer voor doel configureren in te stellen

Tip

U kunt een groepsbeleid voor deze instellingen maken en het groepsbeleid toepassen op elke domeincontroller die wordt bewaakt door de zelfstandige Defender for Identity-sensor. Met de volgende stappen wordt het lokale beleid van de domeincontroller gewijzigd.

  1. Voer op elke domeincontroller het volgende uit:

    winrm quickconfig
    
  2. Voer vanaf een opdrachtprompt in

    gpedit.msc
    
  3. Vouw Computerconfiguratie > Beheersjablonen > Windows-onderdelen > Gebeurtenis doorsturen uit. Bijvoorbeeld:

    Schermopname van het dialoogvenster Editor voor lokale beleidsgroepen.

  4. Dubbelklik op Doelabonnementsbeheer configureren en vervolgens op:

    1. Selecteer Ingeschakeld.

    2. Selecteer onder Optiesde optie Weergeven.

    3. Voer onder SubscriptionManagers de volgende waarde in en selecteer OK:

      Server=http://<fqdnMicrosoftDefenderForIdentitySensor>:5985/wsman/SubscriptionManager/WEC,Refresh=10

      Gebruik bijvoorbeeld Server=http://atpsensor.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10:

      Schermopname van het dialoogvenster Doelabonnement configureren.

  5. Selecteer OK.

  6. Voer vanaf een opdrachtprompt met verhoogde bevoegdheid het volgende in:

    gpupdate /force
    

Stap 3: een abonnement maken en selecteren op uw sensor

In deze procedure wordt beschreven hoe u een abonnement maakt voor gebruik met Defender for Identity en dit vervolgens selecteert in uw zelfstandige sensor.

  1. Open een opdrachtprompt met verhoogde bevoegdheid en voer in

    wecutil qc
    
  2. Open Logboeken.

  3. Klik met de rechtermuisknop op Abonnementen en selecteer Abonnement maken.

    1. Voer een naam en beschrijving in voor het abonnement.

    2. Controleer bij Doellogboek of Doorgestuurde gebeurtenissen is geselecteerd. Defender for Identity kan de gebeurtenissen alleen lezen als het doellogboek Doorgestuurde gebeurtenissen is.

    3. Selecteer Broncomputer geïnitieerd>Selecteer computers Groepen>Domeincomputer toevoegen.

      1. Voer de naam van de domeincontroller in het veld Voer de objectnaam in om te selecteren .

      2. Selecteer Namen controleren>OK>OK.

      3. Selecteer OK. Bijvoorbeeld:

        Schermopname van het dialoogvenster Logboeken.

    4. Selecteer Gebeurtenissen> selecterenop logboekbeveiliging>.

    5. Typ in het veld Gebeurtenis-id opnemen/uitsluiten het gebeurtenisnummer en selecteer OK. Voer bijvoorbeeld 4776 in:

      Schermopname van het dialoogvenster Query.

    6. Ga terug naar het opdrachtvenster dat in de eerste stap is geopend. Voer de volgende opdrachten uit en vervang SubscriptionName door de naam die u voor het abonnement hebt gemaakt.

      wecutil ss "SubscriptionName" /cm:"Custom"
      wecutil ss "SubscriptionName" /HeartbeatInterval:5000
      
    7. Ga terug naar de Logboeken-console. Klik met de rechtermuisknop op het gemaakte abonnement en selecteer Runtimestatus om te zien of er problemen zijn met de status.

    8. Controleer na een paar minuten of de gebeurtenissen die u hebt ingesteld om te worden doorgestuurd, worden weergegeven in de doorgestuurde gebeurtenissen op de zelfstandige sensor van Defender for Identity.

Zie Voor meer informatie: De computers configureren voor het doorsturen en verzamelen van gebeurtenissen.

Zie voor meer informatie: